Apa itu peretasan etis?

Apa itu peretasan etis?

Peretasan etis adalah penggunaan teknik peretasan oleh pihak-pihak yang bersahabat dalam upaya mengungkap, memahami, dan memperbaiki kerentanan keamanan dalam jaringan atau sistem komputer.

Peretas etis memiliki keahlian yang sama dan menggunakan alat dan taktik yang sama dengan peretas jahat, tetapi tujuan mereka selalu untuk meningkatkan keamanan jaringan tanpa membahayakan jaringan atau penggunanya.

Dalam banyak hal, peretasan etis seperti latihan untuk serangan siber di dunia nyata. Organisasi mempekerjakan peretas etis untuk meluncurkan simulasi serangan pada jaringan komputer mereka. Selama serangan ini, para peretas etis mendemonstrasikan bagaimana penjahat siber yang sebenarnya membobol jaringan dan kerusakan yang dapat mereka timbulkan setelah berada di dalamnya.

Analis keamanan organisasi dapat menggunakan informasi ini untuk menghilangkan kerentanan, memperkuat sistem keamanan, dan melindungi data sensitif.

Istilah "peretasan etis" dan "pengujian penetrasi" terkadang digunakan secara bergantian. Namun, uji penetrasi hanyalah salah satu metode yang digunakan peretas etis. Peretas etis juga dapat melakukan penilaian kerentanan, analisis malware, dan layanan keamanan informasi lainnya.

Buletin Think

Apakah tim Anda akan mampu mendeteksi zero-day berikutnya tepat waktu?

Bergabunglah dengan para pemimpin keamanan yang mengandalkan Buletin Think untuk berita yang dikurasi tentang AI, keamanan siber, data, dan otomatisasi. Pelajari dengan cepat dari tutorial pakar dan penjelas—dikirimkan langsung ke kotak masuk Anda. Lihat Pernyataan Privasi IBM®.

Langganan Anda akan disediakan dalam bahasa Inggris. Anda akan menemukan tautan berhenti berlangganan di setiap buletin. Anda dapat mengelola langganan atau berhenti berlangganan di sini. Lihat Pernyataan Privasi IBM® kami untuk informasi lebih lanjut.

https://www.ibm.com/id-id/privacy

Kode etik peretas etis

Peretas etis mengikuti kode etik yang ketat untuk memastikan tindakan mereka membantu dan tidak merugikan perusahaan. Banyak organisasi yang melatih atau memberikan sertifikasi kepada peretas etis—seperti International Council of E-Commerce Consultants (EC Council), memublikasikan kode etik tertulis resmi mereka sendiri. Meskipun etika yang dinyatakan dapat bervariasi di antara peretas atau organisasi, pedoman umumnya adalah:

  • Peretas etis mendapatkan izin dari perusahaan yang mereka retas: Peretas etis dipekerjakan oleh atau bermitra dengan organisasi yang mereka retas. Mereka bekerja dengan perusahaan untuk menentukan ruang lingkup kegiatan mereka termasuk jadwal peretasan, metode yang digunakan, serta sistem dan aset yang diuji. 
  • Peretas etis tidak menyebabkan kerusakan apa pun: Peretas etis tidak melakukan kerusakan apa pun pada sistem yang mereka retas, dan mereka juga tidak mencuri data sensitif apa pun yang mereka temukan. Ketika topi putih meretas sebuah jaringan, mereka hanya melakukannya untuk mendemonstrasikan apa yang mungkin dilakukan oleh penjahat siber sungguhan. 
  • Peretas etis merahasiakan temuan mereka: Peretas etis membagikan informasi yang mereka kumpulkan tentang kerentanan dan sistem keamanan hanya kepada perusahaan—tidak kepada pihak lain. Mereka juga membantu perusahaan dalam menggunakan temuan ini untuk meningkatkan pertahanan jaringan.
  • Peretas etis bekerja dalam batas-batas hukum: Peretas etis hanya menggunakan metode hukum untuk menilai keamanan informasi. Mereka tidak berhubungan dengan topi hitam atau berpartisipasi dalam peretasan jahat.

Peretas etis versus jenis peretas lainnya

Sehubungan dengan kode etik ini, ada dua jenis peretas lainnya.

Peretas yang sepenuhnya jahat

Terkadang disebut 'peretas topi hitam', peretas jahat melakukan kejahatan siber untuk keuntungan pribadi, terorisme siber, atau tujuan lain. Mereka meretas sistem komputer untuk mencuri informasi sensitif, mencuri dana, atau mengganggu operasi.

Peretas etis yang tidak etis

Kadang-kadang disebut 'peretas gray hat' (atau salah eja sebagai 'peretas grey hat'), para peretas ini menggunakan metode yang tidak etis atau bahkan bekerja tidak sesuai hukum untuk mencapai tujuan yang etis. Contohnya termasuk menyerang jaringan atau sistem informasi tanpa izin untuk menguji eksploitasi, atau mengeksploitasi kerentanan perangkat lunak secara publik yang akan diperbaiki oleh vendor. Meskipun para peretas ini memiliki niat baik, tindakan mereka juga dapat memberi petunjuk kepada penyerang jahat tentang vektor serangan baru.

Keterampilan dan sertifikat peretasan etis

Peretasan etis adalah jalur karier yang sah. Sebagian besar peretas etis memiliki gelar sarjana di bidang ilmu komputer, keamanan informasi, atau bidang terkait. Mereka cenderung mengetahui bahasa pemrograman dan skrip yang umum seperti python dan SQL.

Mereka terampil—dan terus membangun keterampilan mereka—dalam alat dan metodologi peretasan yang sama oleh peretas jahat, termasuk alat pemindaian jaringan seperti Nmap, platform pengujian penetrasi seperti Metasploit, dan sistem operasi khusus yang dirancang untuk peretasan, seperti Kali Linux.

Seperti profesional keamanan siber lainnya, peretas etis biasanya mendapatkan kredensial untuk menunjukkan keahlian dan komitmen mereka terhadap etika. Banyak yang mengambil kursus peretasan etis atau mendaftar di program sertifikasi khusus untuk bidang ini. Beberapa sertifikasi peretasan etis yang paling umum meliputi:

  • Peretas Etis Bersertifikat (CEH): Ditawarkan oleh EC-Council, sebuah badan sertifikasi keamanan siber internasional, CEH merupakan salah satu sertifikasi peretasan etis yang paling dikenal luas.

  • CompTIA PenTest +: Sertifikasi ini berfokus pada pengujian penetrasi dan penilaian kerentanan.

  • Penguji Penetrasi SANS GIAC (GPEN): Seperti PenTest+, sertifikasi GPEN dari SANS Institute memvalidasi keterampilan pengujian penetrasi peretas etis.

Peretasan etis dalam praktiknya

Peretas etis menawarkan berbagai layanan.

Pengujian penetrasi

Uji penetrasi, atau 'uji pen' adalah simulasi pelanggaran keamanan. Penguji pen meniru peretas jahat yang mendapatkan akses tidak sah ke sistem perusahaan. Tentu saja, penguji pen tidak menyebabkan kerusakan yang sebenarnya. Mereka menggunakan hasil uji mereka untuk membantu mempertahankan perusahaan terhadap penjahat siber yang sebenarnya.

Uji pena terjadi dalam tiga tahap:

1. Pengintaian

Selama tahap pengintaian, penguji penetrasi mengumpulkan informasi tentang komputer, perangkat seluler, aplikasi web, server web, dan aset lainnya di jaringan perusahaan. Tahap ini terkadang disebut "footprinting" karena penguji penetrasi memetakan seluruh jejak jaringan. 

Penguji penetrasi menggunakan metode manual dan otomatis untuk melakukan pengintaian. Mereka dapat menjelajahi profil media sosial karyawan dan halaman GitHub untuk mencari petunjuk. Mereka mungkin menggunakan alat seperti Nmap untuk memindai port terbuka dan alat seperti Wireshark untuk memeriksa lalu lintas jaringan. Jika diizinkan oleh perusahaan, mereka dapat menggunakan taktik rekayasa sosial untuk mengelabui karyawan agar berbagi informasi sensitif.

2. Menguji serangan

Setelah penguji pen memahami kontur jaringan—dan kerentanan yang bisa mereka eksploitasi—mereka meretas sistem. Penguji pen dapat mencoba berbagai serangan tergantung pada ruang lingkup tes. Beberapa serangan yang paling umum diuji meliputi:

– Injeksi SQL: Penguji pen mencoba membuat halaman web atau aplikasi mengungkapkan data sensitif dengan memasukkan kode berbahaya ke dalam bidang input.

– Skrip lintas situs: Penguji pen mencoba menanam kode berbahaya di situs web perusahaan.

–Serangan denial-of-service: Penguji penetrasi mencoba membuat server, aplikasi, dan sumber daya jaringan lainnya offline dengan membanjirinya dengan lalu lintas.

- Rekayasa sosial: Penguji pen menggunakan phishing, umpan, pretexting, atau taktik lain untuk mengelabui karyawan agar membahayakan keamanan jaringan. 

Selama serangan, penguji pena mengeksplorasi bagaimana peretas jahat dapat mengeksploitasi kerentanan yang ada dan bagaimana mereka dapat bergerak melalui jaringan begitu masuk. Mereka mencari tahu jenis data dan aset apa saja yang bisa diakses oleh peretas. Mereka juga menguji apakah langkah-langkah keamanan yang ada dapat mendeteksi atau mencegah aktivitas mereka.

Pada akhir serangan, penguji pen menutupi jejak mereka. Hal ini memiliki dua tujuan. Pertama, ini menunjukkan bagaimana penjahat siber dapat bersembunyi di dalam jaringan. Kedua, mencegah peretas jahat secara diam-diam mengikuti peretas etis ke dalam sistem.

3. Pelaporan

Penguji penetrasi mendokumentasikan semua aktivitas mereka selama peretasan. Kemudian, mereka mempresentasikan laporan kepada tim keamanan informasi yang menguraikan kerentanan yang mereka eksploitasi, aset dan data yang mereka akses, dan bagaimana mereka menghindari sistem keamanan. Peretas etis juga membuat rekomendasi untuk memprioritaskan dan memperbaiki masalah ini.

Penilaian kerentanan

Penilaian kerentanan seperti pengujian penetrasi, tetapi tidak sampai mengeksploitasi kerentanan. Sebaliknya, peretas etis menggunakan metode manual dan otomatis untuk menemukan, mengategorikan, dan memprioritaskan kerentanan dalam suatu sistem. Kemudian mereka membagikan temuan kepada perusahaan.

Analisis malware

Beberapa peretas etis mengkhususkan diri dalam menganalisis jenis ransomware dan malware. Mereka mempelajari rilis malware baru untuk memahami cara kerjanya dan membagikan kesimpulannya kepada perusahaan dan komunitas keamanan informasi yang lebih luas.

Manajemen risiko

Peretas etis juga dapat membantu manajemen risiko strategis tingkat tinggi. Mereka dapat mengidentifikasi ancaman baru dan ancaman yang muncul, menganalisis bagaimana ancaman ini berdampak pada postur keamanan perusahaan, dan membantu perusahaan mengembangkan tindakan pencegahan.

Manfaat peretasan etis

Meskipun ada banyak cara untuk menilai keamanan siber, peretasan etis dapat membantu perusahaan memahami kerentanan jaringan dari sudut pandang penyerang. Dengan meretas jaringan dengan izin, peretas etis dapat menunjukkan bagaimana peretas jahat mengeksploitasi berbagai kerentanan dan membantu perusahaan menemukan dan menutup kerentanan yang paling kritis.

Perspektif peretas etis juga dapat mengungkap hal-hal yang mungkin terlewat oleh analis keamanan internal. Sebagai contoh, peretas etis berhadapan langsung dengan firewall, algoritma kriptografi, sistem deteksi intrusi (IDS), sistem deteksi yang diperluas (XDR), dan tindakan pencegahan lainnya. Hasilnya, mereka tahu persis bagaimana pertahanan ini bekerja dalam praktiknya—dan di mana saja kelemahannya—tanpa perusahaan mengalami pelanggaran data yang sebenarnya.
Solusi terkait
IBM X-Force

Tim peretas, penanggap, peneliti, dan analis yang berpusat pada ancaman IBM X-Force membantu melindungi organisasi Anda dari ancaman global.

         Jelajahi IBM X-Force
    Solusi pendeteksian dan respons ancaman

    Solusi deteksi dan respons ancaman IBM memperkuat keamanan Anda dan mempercepat deteksi ancaman.

             Jelajahi solusi deteksi ancaman
      Layanan Keamanan Ofensif X-Force Red

      IBM X-Force Red menggunakan taktik ofensif untuk mengungkap ancaman dan membantu organisasi memperbaiki kerentanan.

             Jelajahi layanan keamanan ofensif
      Ambil langkah selanjutnya

      Pelajari bagaimana IBM X-Force Red menggunakan taktik ofensif untuk menemukan ancaman dan membantu organisasi memperbaiki kerentanan.

             Jelajahi layanan keamanan ofensif Jadwalkan sesi penemuan dengan X-Force